readprocessmemory函数分析_in the process

全栈程序员-站长 • 2022年10月4日下午10:46 • 未分类 • 阅读 5

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

函数功能：该函数从指定的进程中读入内存信息，被读取的区域必须具有访问权限。

函数原型：BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead)；

参数：

hProcess：进程句柄

lpBaseAddress：读出数据的地址

lpBuffer：存放读取数据的地址

nSize：读出的数据大小

lpNumberOfBytesRead：数据的实际大小

C#中使用该函数首先导入命名空间：
using System.Runtime.InteropServices;

然后写API引用部分的代码，放入 class 内部
[DllImport(“kernel32.dll “)]
static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress,out int lpBuffer, int nSize, out int lpNumberOfBytesRead);

这个函数有五个参数，第一个参数是进程句柄，由OpenProcess函数获取；第二个参数是要读出数据的地址，使用CE等辅助工具可取得；第三个参数是用于存放读取数据的地址；第四个参数是要读出的数据大小；第五个参数是读出数据的实际大小。例如：
IntPtr hwnd = FindWindow(null, “计算器”);
const int PROCESS_ALL_ACCESS = 0x1F0FFF;
const int PROCESS_VM_READ = 0x0010;
const int PROCESS_VM_WRITE = 0x0020;
if (hwnd != IntPtr.Zero)
{

    int calcID;
    int calcProcess;
    int dataAddress;
    int readByte;
    GetWindowThreadProcessId(hwnd, out calcID);
    calcProcess = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, calcID);
    //假设地址0X0047C9D4存在信息
    ReadProcessMemory(calcProcess, 0X0047C9D4, out dataAddress, 4, out readByte);
    MessageBox.Show(dataAddress.ToString());
}
else
{

    MessageBox.Show(“没有找到窗口”);
}

如果我们读取的一段内存中的数据，我们引入部分可修改成如下：

//二维数组
[DllImport(“kernel32.dll “)]
static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[,] lpBuffer, int nSize, out int lpNumberOfBytesRead);
//一维数组
[DllImport(“kernel32.dll “)]
static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int nSize, out int lpNumberOfBytesRead);

由于数组是引用传递，我们不需要写out关键字。

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/185866.html原文链接：https://javaforall.net